Il patch tuesday di ottobre conterrà l’aggiornamento di cui all’articolo KB2661254.
L’avviso è stato diramato con così largo anticipo per l’impatto che potrebbe avere in molte organizzazioni: una volta installata KB2661254 non verranno più considerate valide le chiavi RSA con lunghezza minore di 1024 bit.
È possibile scaricare fin d’ora l’aggiornamento dalla pagina dell’articolo per poter condurre i test opportuni in un ambiente controllato. Considerato l’impatto dell’aggiornamento è consigliabile eseguire comunque un’analisi per verificare se si stanno ancora usano chiavi RSA non più considerate sicure.
Kurt Hudson ha scritto un articolo tecnico nel blog Technet PKI in merito a questo aggiornamento (qui la seconda parte).
Le principali conseguenze di questo aggiornamento sono:
- Una CA di Windows non potrà emettere certificati di lunghezza inferiore a 1024 bit.
- La CA non parte se utilizza un certificato di lunghezza inferiore ai 1024 bit.
- Internet Explorer non accede a siti firmati con chiavi RSA di lunghezza inferiore ai 1024 bit.
- Outlook 2010 non firma o cripta messaggi con chiavi di lunghezza inferiore a 1024 bit né si collega in SSL a server di Exchange che non rispettano quella regola. In questo ultimo caso il messaggio di errore che appare è Information you exchange with this site cannot be viewed or changed by others. However, there is a problem with the site’s security certificate. The security certificate is not valid. The site should not be trusted.
- L’installazione di software o driver firmati con chiavi RSA di lunghezza inferiore ai 1024 bit provocherà il medesimo messaggio di avviso che compare quando il software non è firmato correttamente.
I sistemi operativi interessati da questa patch sono:
- Windows XP
- Windows Server 2003
- Windows Vista
- Windows 2008
- Windows 7
- Windows 2008 R2
La patch verrà rilasciata a tutti i computer interessati il 9 di ottobre; le organizzazioni che non vogliono che venga installata automaticamente hanno tempo sufficiente per bloccare l’installazione automatica di ottobre.
4 risposte a “Microsoft alza il limite minimo delle chiavi RSA”
Potrebbe creare problemi con la “firma digitale” rilasciata ai vari professionisti e/o azienda dai rispettivi ordini o dalla CCIAA?
Molto difficile perché non credo che siano chiavi <1024.
Inoltre se usano software come Dyke, il tutto avviene al di fuori delle API di Microsoft. Alcuni sistemi tipo Infocamere fanno importare una CA in Windows, ma credo prorprio sia >=1024. Per sicurezza basta seguire la procedura indicata nella nota tecnica per vedere se si hanno nel “portachiavi” delle chiavi <1024
Si, in genere usano Dilke…
Ora controllo se le chiavi sono <di 1024
Grazie 🙂
Ho controllato i certificati di Infocamere e sono da 2048 bit